KIURUVEDEN KAUPUNGIN TIETOTILINPÄÄTÖS 2018 Laatinut: Tietosuojavastaava Merja Luukkonen ja tietoturvavastaava Anne Koljonen 11.2.2019 Kaupunginhallitus 1.4. 2019 70 Valtuusto 15.4.2019 14
2 KIURUVEDEN KAUPUNGIN TIETOTILINPÄÄTÖS 2018 Hyväksytty: Kaupunginhallitus 1.4.2019 70 1 Tietotilinpäätöksen tarkoitus Kiuruveden kaupungissa... 3 2 Tietoturvallisuuden ja -suojan toteuttaminen... 3 3 Tiedonhallinta, tietovarannot ja tietovirrat... 4 4 Tiedonkäsittelyyn vaikuttava lainsäädäntö ja ohjeistus... 5 5 Rekisteröidyn oikeudet ja niiden toteutuminen... 6 6 Seuranta ja mittaaminen... 7 7 Arviointi ja kehittäminen vuosina 2019-2020... 7
3 1 Tietotilinpäätöksen tarkoitus Kiuruveden kaupungissa Tämä asiakirja on Kiuruveden kaupungin ensimmäinen tietotilinpäätös. Tietotilinpäätöksen tehtävänä on osoittaa, että kaupunki noudattaa vuonna 2018 sovellettavaksi tulleen yleisen tietosuoja-asetuksen GDPR eli General Data Protection Regulation mukaisia toimintatapoja. EU:n yleinen tietosuoja-asetus on tullut sovellettavaksi 25. toukokuuta 2018 alkaen. Asetuksen tavoitteena on luoda EU-kansalaisia koskeva yhtenäinen ja ajanmukainen tietosuojasääntely. Asetus tuo uusia velvoitteita ja sanktioita rekisterinpitäjälle ja vaikuttaa henkilötie tojen käsittelijän tehtäviin sekä tuo lisää oikeuksia rekisteröidylle. Samalla asetus varmistaa, että kansalaisten oikeus henkilötietojen suojaan pysyy voimassa myös digitaaliaikana. Asetuksen rinnalle on tulossa kansallinen tietosuojalaki, joka korvaa nykyisen henkilötietolain. Merkittävimpiä muutoksia ovat rekisterinpitäjän velvollisuus osoittaa toimivansa asetuksen mukaan ja toiminta toteutuu sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita noudattaen. Lisäksi tietosuoja-asetuksen lähtökohtana on riskipohjainen lähestymistapa, jonka mukaan henkilötietojen käsittelyyn liittyvät riskit rekisteröidyn oikeuksille ja vapauksille on arvioitava etukäteen ennen käsittelyn aloittamista. Tietotilinpäätös on raportti, joka syntyy kaupungin sisäisen tarkastelun tuloksena. Se on työkalu ja tietopaketti, joiden avulla Kiuruveden kaupunki osoittaa tiedon osalta tilintekokykyisyytensä, kilpailukykynsä ja vaikuttavuutensa. Tietotilinpäätös on myös osa tietojohtamista, joka nostaa esille tietojen käsittelyyn liittyviä kehittämiskohteita ja antaa kokonaiskuvan Kiuruveden kaupungin tietojen käsittelyn ja tiedonhallinnan nyky tilasta. Tietotilinpäätös toimii sisäisen ja ulkoisen valvonnan apuvälineenä, johdon ja riskienhallinnan strategisena työvälineenä, oppimisen työkaluna ja luottamuksen rakentajana Kiuruveden kaupungin menettelytapoihin tietojenkäsittelyssä ja tiedonhallinnassa. Tietosuoja ja tietoturva on kaupungin yhteinen asia, joka vaatii johdon, henkilöstön, luottamushenkilöiden ja tytäryhtiöiden sitoutumista tietoturva- ja tietosuojatyöhön. Toiminta tullaan jalkauttamaan osaksi normaalia toiminnan kehittämistä ja toimintojen jatkuvaa parantamista. Tässä tietotilinpäätöksessä kuvataan keskeisiä toimenpiteitä, kuinka Kiuruveden kaupunki huolehtii asiakkaiden, henkilöstön ja sidosryhmien henkilötiedoista ja yksityisyydestä. 2 Tietoturvallisuuden ja -suojan toteuttaminen Vuonna 2018 keskeisenä kehitystehtäväkokonaisuutena Kiuruvedellä on ollut EU:n tietosuoja-asetuksen toimeenpano. Tietoturvallisuus on osa kaupungin jokapäiväistä toimintaa. Tietoturvallisuuden tavoitteena on, että se mahdollistaa Kiuruveden kaupungin järjestelmien turvallisen ja häiriöttömän käytön niin asiakkaille kuin kaupungin henkilöstölle. Kiuruveden kaupungin tietoturvallisuus rakentuu henkilöiden toimenpiteistä ja vuorovaikutuksesta, prosesseihin sisäänrakennetusta tietoturvasta, dokumentaatioista, ohjeista ja hallinnasta sekä teknologiasta ja tietoturvaratkaisuista. Näistä osa-alueista muodostuu toisistaan riippuvainen kokonaisuus. Tietoturvallisuuden on vastattava yhä nopeampaan kehitykseen ja monimutkaisiin kokonaisuuksiin.
4 Kiuruveden kaupungin tietoturva- ja tietosuojaorganisaatio on määritelty rooleineen ja vastuineen sisältäen myös henkilöstölle määritellyt tietoturvavastuut. Tietoturvaa mitataan, todennetaan ja kehitetään säännöllisesti. Kuva: Kiuruveden kaupungin tietosuojaa ja tietoturvaa koskevat vastuut tietohallinnossa 3 Tiedonhallinta, tietovarannot ja tietovirrat Kiuruveden kaupungilla on tehtäviensä hoitamiseksi käytössään noin 45 tietojärjestelmää, joissa käsitellään asiakkaista, sidostyhmistä tai omasta henkilökunnasta kertyvää henkilötietoa. Rekisteriin liittyvät tietojärjestelmät määritellään tietosuojaselosteessa. Ne tietokokonaisuudet ja tietovarannot, joita käsitellään tietosuojaselosteessa määritellyllä tavalla, muodostavat rekisterin. Rekisteri on teknologiariippumaton ja se voi käsittää useita tietovarantoja ja myös paperiarkistoja. Kiuruveden kaupungilla on ollut käytössä KuntaToimisto-asianhallintajärjestelmä diaarin, asianhallinnan, kokousjärjestelmän, viranhaltijapäätösten ja julkaisun osalta. Lisäksi on hankittu WebArkki-tiedonohjausjärjestelmä tiedonohjaussuunnitelman (TOS) laadintaan. KuntaToimisto-ohjelmisto päivitetään uuteen versioon, koska arkistolaki, EU:n yleinen tietosuoja-asetus ja kuntalaki edellyttävät julkisen tiedon tuottamiselta ja hallinnalta entistä tarkempaa huolellisuutta tietojen julkaisemisessa sekä salassa pidettävien tietojen suojaamisessa. Uusi selainpohjainen versio mahdollistaa myös sähköisen arkistoinnin tulevaisuudessa. Järjestelmä on toiminnallisuuksiltaan julkishallintoa ohjaavan SÄHKE2- määrityksen mukainen, joka mahdollistaa sähköisen materiaalin keskitetyn hallinnoinnin ja hävittämisen. Uusi ohjelmisto otetaan käyttöön vuosien 2019-2020 aikana.
Kiuruveden kaupunki on siirtymässä käyttämään kuntien yhteistä tehtäväluokitusta ja osana tiedonhallintaa ja tietosuojan toteuttamista kaupungin tiedonohjaussuunnitelma (TOS) pyritään saamaan valmiiksi vuoden 2019 aikana. Kiuruveden kaupunki on yksi arkistonmuodostaja ja tiedonohjaussuunnitelmalla voidaan todentaa sitä, että tietojen säilytysajat on määritelty asianmukaisesti ja että niiden asianmukainen hävittäminen on suunnitelmallista. TOS on asiakirjahallinnan organisoinnin tärkein työväline, joka toimii kaupungin asiankäsittelyn ohjeena ja ohjaa kaupungin tietojen ja asiakirjojen käsittelyä koko elinkaaren ajan. Asiakirjahallinnon (tiedonhallinnan) ja arkistotoimen toimintaohjeistus 7.11.2011 237 kaipaa päivittämistä ja ajan tasalle saattamista. Asiakirjojen suojelussuunnitelma on laadittava toimintaohjeen liitteeksi. Ohjeiston päivittäminen aloitetaan vuoden 2019 aikana. Kiuruveden kaupungin keskusarkisto vaatii järjestämistä, luettelointia ja kuvailuja. Määräajan säilytettävät asiakirjat on seulottava asianmukaisella tavalla pysyvästi säilytettävistä asiakirjoista. Pysyvästi säilytettävät asiakirjat on luetteloitava ja kuvailtava sekä koteloitava pysyvään säilytykseen tarkoitetuilla suojamateriaaleilla. Tarpeettomien asiakirjojen hävittäminen on hoidettava vuosittain siten, että tietosuoja ei vaarannu. Keskusarkiston järjestäminen on aloitettu vuonna 2018 ja työ tulee jatkumaan tulevina vuosina. Kaupungin arkistotyöryhmä on kokoontunut 1.11.2018 alkaen keskimäärin viikoittain kehittämään kaupungin tiedonhallinnan ja arkistotoimen asioita. 5 4 Tiedonkäsittelyyn vaikuttava lainsäädäntö ja ohjeistus Euroopan unionin yleinen tietosuoja-asetus (EU 679/2016) on tullut voimaan toukokuussa 2016 ja sitä sovelletaan kansallisesti 25.5.2018 alkaen. Asetusta sovelletaan henkilötietojen käsittelyyn sekä julkisella että yksityisellä sektorilla. Asetus korvaa vuoden 1995 henkilötietodirektiivin sekä sen kansallisesti täytäntöön panemiseksi annetun henkilötietolain (523/1999). Asetuksen rinnalle säädetään uusi tietosuojalaki. Kiuruveden kaupungin tietoturva- ja tietosuojapolitiikka on hyväksytty kaupunginhallituksessa 11.6.2018 103. Tietoturva- ja tietosuojapolitiikka on Kiuruveden kaupungin ylimmän johdon hyväksymä strateginen asiakirja, joka on kannanotto tietosuojan ja tietoturvan kehittämiseen. Politiikan tavoitteena on luoda yhdenmukaiset toimintaperiaatteet ja käytännöt hyvän tietosuoja- ja tietoturvatason toteuttamiseksi. Politiikassa määritellään kaupungin tietosuoja- ja tietoturvatyön tavoitteet, vastuut, toimintatavat sekä valvonta- ja seurantajärjestelmä. Tietoturva- ja tietosuojapolitiikan liitteenä on ohje henkilötietojen käsittelystä Kiuruveden kaupungilla. Kiuruveden kaupungilla on käytössä tietoturvaan ja tietosuojaan liittyvät prosessit ja lomakkeet: - henkilön salassapito- ja vaitiolositoumus - rekisteritietojen tarkastuspyyntö - rekisteritietojen korjaamis-, poisto- tai täydennyspyyntö - tietosuojan valvontaprosessi lokitiedoista - tietoturvaloukkauksen käsittelyprosessi - tietoturvapoikkeaman ilmoituslomake - kaupungin raportti tietoturvapoikkeamasta - tietoturvapoikkeaman tapahtumapäiväkirja.
6 5 Rekisteröidyn oikeudet ja niiden toteutuminen Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä ja omista oikeuksistaan. Oikeus tulla informoiduksi nivoutuu muihin rekisteröidyn oikeuksiin. Oikeudet toteutetaan Kiuruveden kaupungilla henkilörekistereiden, tietojärjestelmäselosteiden ja tietosuojaselosteiden avulla. Kiuruveden kaupungin kaikki tietojärjestelmä-, henkilötietoja tietosuojaselosteet tullaan saattamaan EU:n yleisen tietosuoja-asetuksen edellyttämälle tasolle. Tällä hetkellä tietopyyntöprosessi on manuaalinen, jolloin tietoja ei voida luovuttaa kuntalaiselle sähköisessä muodossa. Tietopyyntöjen lukumääriä ja niiden vastaamisaikoja seurataan tulevaisuudessa tarkalla tasolla. Keskeisenä tehtävänä on rekisteröityjen oikeuksien vahvistaminen. Kiuruveden kaupunki on kehittänyt poikkeamien hallintamallia vastaamaan tietosuojaasetuksen velvoitteeseen informoida valvovaa viranomaista 72 tunnissa mahdollisen poikkeaman havainnosta sekä rekisteröidylle ilman aiheetonta viivytystä, jos poikkeama aiheuttaa todennäköisesti korkean riskin rekisteröidyn oikeuksille ja vapauksille. Tietoturvapoikkeamien osalta yleisin oli tietojen kalastelu, joka tapahtui sähköpostiviestein ja sillä yritettiin hankkia kalastelun kohteen käyttäjätunnuksia ja salasanoja. Tietoverkossa tapahtuvien ei-toivottujen toimien osalta Kiuruveden kaupungilta edellytetään jatkuvaa varautumista ja menetelmien kehittämistä. Kuva: Rekisteröidyn oikeudet ja niiden toteutuminen Kiuruveden kaupungissa
7 6 Seuranta ja mittaaminen Keskeinen osa tietosuoja-asetuksen edellyttämää organisaation osoittamisvelvollisuutta on, että henkilöstö tietää ja ymmärtää, miten henkilötietoja käsitellään. Tämä edellyttää säännöllisiä tietosuojakoulutuksia. Tavoitteena on, että tietosuojakoulutukset ovat mahdollisimman käytännön läheisiä ja niitä järjestetään säännöllisesti. Tiedonohjaussuunnitelman laadinnassa korostuu myös henkilötietojen käsittelyn osaaminen. Kaupungin henkilöstöllä on ollut velvollisuus allekirjoittaa vaitiolo- ja salassapitositoumus sekä suorittaa hyväksytysti voimassa oleva tietoturva- ja tietosuojakoulutus Arjen tietosuojaa -nettitesti. Nettitestin suorittavat myös kaikki varsinaiset luottamushenkilöt ja Kiurunkulma Oy:n henkilöstö. Nettitestin tueksi on päivitetty tietoturvavastaavan ja tietosuojavastaavan laatima materiaali henkilöstön ja luottamushenkilön tietosuoja- ja tietoturvaperiaatteet. Kiuruvedellä järjestetään uusille palvelussuhteessa aloittaville henkilöille tietoturva- ja tietosuojaperehdytystä. Perehdyttäminen on osa perehdytystyötä esimiehen, alaisen ja tietosuoja- sekä tietoturvavastaavan välillä. Kiuruveden kaupungin johtoryhmä sekä tietosuojavastaava ja Ysit Oy:n edustaja osallistuivat tietoturva- ja tietosuojaloukkausten hallinnan Taisto18 -harjoitukseen 15.11.2018. Pääpaino harjoituksessa oli henkilötietojen tietoturvaloukkauksiin liittyvissä organisaation omien prosessien, ohjeiden ja toimintamallien kehittämisessä. Tietoturva ja tietosuoja on ymmärrettävä osana kaupungin operatiivista toimintaa ja tärkeäksi osaksi henkilöstön osaamispääomaa. 7 Arviointi ja kehittäminen vuosina 2019-2020 Kiuruveden kaupungilla on toistaiseksi vain vähän hyödynnettäviä mittareita tietoturvan ja tietosuojan mittaamiseen. Kaupungin tietoturva- ja tietosuojapolitiikkaan (Khall 11.6.2018 / 103) mittareiksi on kirjattu: - keskeiset tietovarantojen tunnusluvut - tietoturva- ja tietosuojapoikkeamat - tietojärjestelmien käyttökatkot ja niiden vaikutukset - käytönvalvontasuunnitelman toteutuminen - tietoturvan ja tietosuojan omavalvontasuunnitelman toteutuminen - tietosuoja- ja tietoturvarikkomukset - rekisteröityjen informoinnin ajantasaisuus ja tulleet pyynnöt - mahdolliset viranomaisten selvityspyynnöt - lakimuutokset ja niiden jalkautukset - tietosuoja- ja tietoturvakoulutukset - uudet ohjeistukset. Organisaatiokulttuurin kehittäminen tietoturva- ja tietosuojatyöhön sekä tietoisuuden lisääminen ovat sisäisen viestinnän ja henkilökunnan koulutuksen keskeisiä teemoja, jotta tietoturva- ja tietosuoja asettuvat oikein mitoitetuksi Kiuruveden kaupungin päivittäistä arkea ja kaikessa toiminnassa noudatetaan hyvää tiedonhallintatapaa.
Sopimusten päivitysprosessi tulee olemaan Kiuruveden kaupungilla vuoden 2019 urakka. Tietosuoja-asetus edellyttää, että henkilötietojen käsittelystä on sovittava kirjallisesti sopimustoimittajan kanssa. Sellaiset sopimukset, joissa kaupunki on ulkoistanut henkilötietojen käsittelyä sopimustoimittajalle, on päivitettävä vastaamaan asetuksen vaatimuksia. Sopimuksia on myös toisinpäin, jolloin Kiuruvesi tuottaa palvelua toiselle organisaatiolle. Tietosuojan vaikutustenarviointien tekeminen (DPIA Data Protection Impact Assessment) on tietosuoja-asetuksen uusi vaatimus. Tietosuoja-asetuksen mukaisesti rekisterinpitäjän tulee tietyissä tilanteissa tehdä vaikutustenarviointi, joka on osa henkilötietojen käsittelyn riskiperusteista lähestymistapaa ja toisaalta tukee osoitusvelvollisuuden toteutumista. Vaikutustenarviointien osalta tietosuojatyö tulee jatkumaan tulevina vuosina. Henkilötietojen käsittelyssä Kiuruveden kaupunki tulee noudattamaan hyvää tiedonhallintatapaa ja kehittää toimintatapojaan siten, että ne vastaavat EU:n yleisessä tietosuojaasetuksessa annettuja vaatimuksia. Tietotilinpäätöksessään vuosittain kaupunki arvioi ja osoittaa jatkossakin noudattavansa alla kuvattuja periaatteita. 8 Kuva: Henkilötietojen käsittely Kiuruveden kaupungissa